Назад | Перейти на главную страницу

Стоит ли изменить порт SSH на <1024?

Во многих руководствах по настройке сервера рекомендуется изменить порт SSH на значение> 1024, для неясности и во избежание конфликтов.

Это интересно, потому что рекомендуется использовать порт <1024, так как это будет привилегированным:

http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-part-1-basics

Есть мысли об этой практике?

Ну, вы можете поменять порт с 22 на другой, да. Но это то, что в конце концов не покажет сканирование портов.

Если вас беспокоит безопасность и SSH, отключите аутентификацию только по паролю. Также включите сканер журналов монитора, такой как fail2ban, настроенный для запрета вредоносных хостов, которые проводят сканирование на вашем сайте.

А если вас еще больше беспокоит безопасность, то есть одна вещь, в которой имеет смысл изменить порт: изменить его на что-то необычное и реализовать блокировку портов!

Смена только порта ничего особенного не делает, смена порта с активным блокированием портов - это совсем другое дело!

У вас есть разные варианты. У каждого есть свои недостатки. Итак, какой недостаток вы предпочитаете?

  • Используйте порт 22: вы получите множество записей журнала от ботов, сканирующих простые пароли. Таким образом вы можете защитить себя от компрометации, используя только аутентификацию с открытым ключом. Но записи в журнале все равно будут.
  • Другой порт меньше 1024: он, скорее всего, будет официально зарезервирован для какого-то другого протокола, что может вызвать конфликты, если вы когда-нибудь будете использовать этот протокол. Боты могут сканировать эту другую службу, поэтому вы все равно будете иногда видеть странные записи в журнале.
  • Используйте номер порта 1024 или более: локальные пользователи могут вызвать DoS-атаку, прослушивая этот порт. Им придется начать слушать, пока sshd не работает, поэтому есть окно возможностей, когда sshd перезапускается.

Если вы в противном случае сохраните sshd secure, похоже, у вас есть выбор между загрузкой журналов с удаленных хостов или возможностью DoS для локальных пользователей. Записи в журнале могут быть уменьшены с помощью некоторого вида автоматической блокировки, которая, к сожалению, открывает вам возможность потенциально другого типа DoS-атаки.

Порты ниже 1024 зарезервированы для демонов и служб, которые используют CAP_NET_BIND_SERVICE ядром, один из них - SSH.

На самом деле изменение порта ssh не является большим улучшением безопасности, поскольку сканирование все равно обнаружит открытые порты. У вас будет меньше записей в журнале, вызванных атаками, пытающимися использовать пароли по умолчанию или таблицы паролей на портах по умолчанию случайных хостов, но если вы правильно настроите ssh, это не должно быть проблемой.

Проблема в том, что при подключении к вашему серверу из среды, в которой исходящий трафик ограничен стандартными портами, у вас возникнет проблема. Для меня лучше всего оставить SSH на порте по умолчанию, но я думаю, что есть люди, желающие обсудить этот вопрос.

Я не вижу никаких преимуществ с точки зрения безопасности в изменении SSH на нестандартный порт. При использовании порта 22 не должно быть никаких конфликтов, поскольку этот порт зарезервирован для SSH. И если безопасность вашего SSH-сервера зависит от его работы на нестандартном порту, вы не делаете свою работу.

Я должен частично не согласиться с другими ответами, потому что изменение порта не обязательно защищает вас от реальной целевой атаки (в случае, если кто-то сможет просто просканировать все порты и найти SSH), но это действительно защищает вас от ботнеты, применяющие брутфорс к случайным или выбранным хостам со словарями. И даже в этом случае я предполагаю, что каждый порядочный технический специалист будет знать, как убедиться, что пароли достаточно надежны, не говоря уже о том, что новые установки программного обеспечения действительно требуют наличия надежных паролей. Я думаю, что он защищает вас от распределенных атак типа «отказ в обслуживании», которые действительно могут замедлить работу вашего сервера, заполнить журналы дерьмом и так далее. Пока fail2ban & co. могут хорошо справиться с этим против одного хоста, они довольно неэффективны против действительно большого ботнета.

С другой стороны, я не вижу причин, по которым вы могли бы оставить свой SSH-порт открытым для Интернета, если только вы не запустите что-то вроде веб-хоста, который предоставляет доступ по SSH или что-то в этом роде. В противном случае вы должны разрешить подключение к SSH только определенным IP-адресам, которым вы доверяете, это ЛУЧШАЯ практика. Не стук порта, не изменение порта, не fail2ban.

Итак, если вы спросите меня, есть 2 варианта:

  1. У вас есть особая потребность, чтобы SSH был открыт для Интернета. В этом случае вы должны изменить порт SSH И установить fail2ban (возможно, даже настроить учетные записи на блокировку после X неудачных попыток ввода пароля).
  2. Вы закрываете SSH и вносите в белый список только определенные IP-адреса.

РЕДАКТИРОВАТЬ:

Забыл про более 1024 и менее 1024 штуки. Многие брандмауэры действительно имеют определенные правила, которые могут сделать использование порта ниже 1024 более разумным. Например, есть брандмауэры, которые запрещают соединения, входящие на порты выше 1024 (так что вам действительно нужно, чтобы служба запускалась с root или необходимыми возможностями ядра, которые слушают порт, а не какой-либо эксплойт), другие брандмауэры отдают больше приоритетов нижние порты, чтобы системные службы могли воспользоваться этим и т. д.